Hoje (17/Jan/2012), foi disponibilizado no repositório Core do Arch Linux, o Pacman 4.
Esta nova versão do gerenciador de pacotes traz diversas novas funcionalidades, porém a que mais se destaca é a assinatura
“GPG” (Gnu Privacy Guard) para pacotes em repositórios, que garante maior integridade e a confiabilidade tanto para pacotes
quanto para repositórios dessa distribuição GNU/Linux.
É fato que esta funcionalidade já existia há algum tempo em outras distribuições GNU/Linux, como Debian e
derivados. Entretanto, no Arch Linux ainda estava em fase de testes e só podia ser obtida ativando o repositório “Testing” ou
compilando o mesmo através do AUR (ou utilizando a ferramenta “yaourt”).
Devido à importância desta atualização, ela demanda uma certa intervenção manual, que explico no link abaixo.
Entenda como implementar esta atualização com segurança, dando devida atenção às regras de uso deste novo recurso de
criptografia, além de assegurar um backup prévio de seus repositórios de terceiros (que terão de ser recadastrados
manualmente após esta atualização).
[1] Comentário enviado por removido em 20/01/2012 - 18:54h
Por coincidência isso veio junto com uma nova instalação que fiz, quebrei bastante a cabeça pois estava na tela preta instalando pacotes e ao checar o novo pacman.conf.new vi essa novidade.
Confesso que além de estranhar não gostei muito dessa parte de adicionar chave pública manualmente, mas felizmente a opção não vem habilitada por padrão e já encontrei uma solução temporária:
Na minha opinião e respeitando a escolha da distro, acho que deveriam criar para cada repo (core, extra,community e os do testing) um pacote contendo essas chaves GPG, similar ao que ocorre com o debian-archive-keyring ou o gigantesco debian-keyring.
[2] Comentário enviado por eldermarco em 21/01/2012 - 09:35h
Vez ou outra o pacman pede a confirmação para importar a chave e quando você dá um sim, ele o faz sem reclamar e instala o pacote. Quando isso não acontece, é necessário mesmo usar o pacman-key para assiná-la.
# pacman-key --lsign-key id_da_chave
Isso me confundiu num primeiro momento, mas depois ficou tudo resolvido. A ideia de importar uma chave para cada empacotador/trusted user é ruim mesmo, mas os desenvolvedores argumentam que não são tantos assim. De qualquer maneira, também compartilho a posição defendida pelo Edinaldo: uma chave para cada repositório.